So beheben Sie Probleme mit CTD-Verarbeitungswerten, die in der Pow-Leistung der > Debug-Datenebene zu hoch sind oder hoch sind

> debug dataplane pow performance
func                                  max-μs   avg-μs        count     total-μs  ac-max-μs  ac-avg-μs         ac-count      ac-total-μs
sml_vm                                     0      276491782.0  0            0         65        1.1           312208           369019
ctd_token                                  0      36.0           27197221  0        180       20.8            18000           374440
detector_run_p1                            0      0.0            0            0         66        4.9             8509            42053
detector_run_p2                            0      0.0            0            0         27        1.5             8786            13669
regex_lookup                               0      0.0            0            0       1093        7.0            11494            81464

• Pan-OS
• CTD (Inhalts- und Bedrohungserkennung)

• Es wurde ein bestimmter neuer Datenverkehrsfluss eingeführt, der groß oder stark für die Inspektions-Engine der Firewall ist, wie z. B.: unknown-udp, unknown-tcp, ms-ds-smb, mssql-db usw.
• Eine ungewöhnlich hohe Menge oder Rate eines schwereren Datenverkehrstyps durchläuft die Firewall, z. B.: unknown-udp, unknown-tcp, ms-ds-smb, mssql-db usw.
• Der gesamte oder eine große Menge des Datenverkehrs durchläuft eine Regel zum Zulassen von Sicherheitsrichtlinien, an die "strenge" Sicherheitsprofile angehängt sind (insbesondere, wenn sich die Menge des Datenverkehrs der maximalen Leistung und Kapazität dieses Modells nähert - in diesem Fall wäre zu erwarten, dass sml_vm, ctd_token, detector_run_p1 und detector_run_p2 hoch sind).
• Der gesamte oder der größte Teil des Datenverkehrs durchläuft eine einzelne umfassende Sicherheitsprofilregel, für die viele schwerwiegende oder strenge Sicherheitsprofile konfiguriert sind, insbesondere wenn große Mengen an nicht klassifiziertem Datenverkehr (unknown-udp, unknown-tcp) oder Datenverkehr mit hoher Datenrate (ms-ds-smb, mssql-db usw.) durch die Firewall geleitet werden
• Es wurde eine ineffiziente benutzerdefinierte URL-Filterung, eine benutzerdefinierte Anwendung oder eine benutzerdefinierte Bedrohungssignatur/ein benutzerdefiniertes Bedrohungsobjekt konfiguriert, das zu viele Platzhalter verwendet, nur einen einzigen Platzhalter verwendet, zu weit gefasst ist usw. (Diese Fehlkonfiguration führt häufig dazu, dass die Funktion regex_lookup speziell hoch geht). Um dieses Problem zu beheben, entfernen Sie alle leistungsbeeinträchtigenden, ineffizienten Platzhalter oder Muster in URL-Filterobjekten, benutzerdefinierten Anwendungen oder benutzerdefinierten Signaturen – weitere Informationen finden Sie unter Verschachtelte Platzhalter(*) in URLs, die die Leistung stark beeinträchtigen können

1. Erstellen Sie eine Baseline dieser Werte, bevor das Problem aufgetreten ist (oder überprüfen Sie historische Werte).Wenn die aktuellen Werte für sml_vm, ctd_token, detector_run_p1 und detector_run_p2 viel höher sind als die zuvor gesehenen Werte, sind sie möglicherweise der Schuldige für das Problem mit der hohen CPU-Auslastung oder dem Datenverkehr. Wenn die aktuellen Werte in etwa mit den alten Werten übereinstimmen , als das Problem nicht auftrat, sind sie möglicherweise nicht der Schuldige oder die Ursache des Problems. Wenn der/die Wert(e) ungewöhnlich höher sind als die Basiswerte, bevor das Problem aufgetreten ist, fahren Sie mit Schritt 2 unten fort.
2. Ermitteln Sie, welcher neue Datenverkehrsfluss (nach Quell-IP, Quellport, Ziel-IP, Zielport, Anwendung) eingeführt wurde, der zu einem Anstieg dieser Werte geführt hat
   1. Navigieren Sie zur Registerkarte ACC > Netzwerkaktivität > zeigen Sie die Diagramme Quell-IP-Aktivität, Ziel-IP-Aktivität und Anwendungsnutzung an
   2. Überprüfen und bewerten Sie alle Datenverkehrsflüsse in den obigen Diagrammen, die sich als Ausreißer abheben, die eine hohe Anzahl von Bytes, Sitzungen, Paketraten usw. beanspruchen. (insbesondere neue Verkehrsströme, die erst seit Beginn des Problems aufgetreten sind). Suchen Sie nach einem bestimmten Datenverkehrsfluss oder einer bestimmten Anwendung, die nur dann in den Diagrammen angezeigt wird, wenn das Problem auftritt, und nicht, wenn das Problem nicht auftritt 
   3. Führen Sie den CLI-Befehl aus: > Zeigen Sie laufende Anwendungsstatistiken an, um zu überprüfen, ob Anwendungen einen ungewöhnlich hohen Wert für eine Spalte aufweisen (insbesondere für Anwendungen mit höherer Datenrate, z. B.: Web-Browsing, unknown-udp, unknown-tcp, dns, ms-ds-smb, ms-ds-smbv2, ms-ds-smbv3 und mssql-db oder benutzerdefinierte Anwendungen)
   4. Wenn sich Datenverkehrsflüsse oder Anwendungen in den oben genannten Schritten als mögliche Täter herausstellen, d. h. wenn ihre Werte höher sind als zu normalen, funktionierenden, problemlosen Zeiten, in denen kein Datenverkehrs-/CPU-Problem vorliegt), stoppen Sie diesen Datenverkehr vorübergehend durch die Firewall und prüfen Sie, ob die CTD-bezogenen Werte in > Debug-Datenebenen-Pow-Leistung (sml_vm, ctd_token, detector_run_p1 oder detector_run_p2) wieder auf ein normales Niveau zurückgehen und wenn das Verkehrsproblem jetzt behoben ist
3. Reduzieren Sie alle Inspektionen, die für diesen bestimmten Verkehrsfluss durchgeführt werden, indem Sie:
   1. Erstellen Sie eine benutzerdefinierte Anwendung für diesen Datenverkehr (damit er nicht als unknown-udp oder unknown-tcp klassifiziert wird).
   2. Senden Sie diesen Datenverkehr stattdessen über eine Sicherheitsrichtlinienregel, an die keine Sicherheitsprofile angehängt sind (oder verwenden Sie ein weniger strenges Profil mit weniger aktivierten Signaturen).
   3. Aktivieren Sie DSRI für die Sicherheitsrichtlinienregel, die für diesen Datenverkehr verwendet wird.
   4. Erstellen Sie eine Anwendungsüberschreibung für diesen Datenverkehr (nur verwenden, wenn der Datenverkehr von Ihrer Organisation als vertrauenswürdig eingestuft wird)